Kontext ist das A und O: Von Vulnerability Management zu Cyber Exposure Management

Vulnerability Management ist und bleibt ein Eckpfeiler der präventiven Cybersecurity, doch Unternehmen haben nach wie vor mit einer Flut von Schwachstellen und immer ausgefeilteren Bedrohungen zu kämpfen. Mit dem neuen „Exposure Signals“ von Tenable erhalten Sicherheitsteams umfassende Kontextinformationen, sodass sie von Vulnerability Management zu Exposure Management übergehen und die gefährlichsten Sicherheitslücken auf ihrer komplexen Angriffsfläche effektiv priorisieren können.

Eine kritische Schwachstelle wurde aufgedeckt und wird von Angreifern weltweit aktiv ausgenutzt. Ihr Vulnerability Management-Team tritt in Aktion und stellt fest, dass die Schwachstelle auf Hunderten von Assets in Ihrem Unternehmen vorhanden ist. Welche davon sollten Sie zuerst patchen? Wie priorisieren Sie Ihre Behebungsmaßnahmen? Anhand welcher Kriterien gehen Sie vor? Die Uhr tickt und Hacker sind auf Beutezug.

Bisher stützte sich Ihr Vulnerability Management-Team auf Schweregradbewertungen wie das Vulnerability Priority Rating (VPR). Das ist ein zwar guter Anfang, gibt Ihnen allerdings nur einen Risikoindikator an die Hand. Um Behebungsmaßnahmen präzise und effektiv zu priorisieren, müssen Sie eine Vielzahl anderer Kriterien berücksichtigen, darunter die Art, den Besitzer und die Funktion eines gefährdeten Assets, die Zugriffsebene und die Berechtigungen für das Asset sowie kritische Angriffspfade zu Ihrer Umgebung.

Mit dieser Art von umfassendem, ganzheitlichem Kontext sind Sie in der Lage, eine korrekte Priorisierung vorzunehmen. Doch dies kann nur mit einem neuen Ansatz erreicht werden, der über das herkömmliche Schwachstellenmanagement hinausgeht: Exposure Management. 

Durch Exposure Management wäre Ihr Vulnerability Management-Team in der Lage, gezielt diejenigen Assets zu ermitteln, die von unserer hypothetischen Schwachstelle betroffen sind – etwa solche, die extern zugänglich sind, über Berechtigungen auf Domänenebene verfügen und Bestandteil eines kritischen Angriffspfads sind. Auf diese Weise wüsste das Team, wo das größte Risiko besteht und was als Erstes behoben werden muss. Durch diese umfassenden Erkenntnisse, Zusammenhänge und Einblicke wird die Risikobewertung auf eine neue Grundlage gestellt und Ihr Schwachstellenmanagement-Team ist nun in der Lage, entschlossen, schnell und strategisch vorgehen.

In diesem Beitrag erläutern wir, warum die Umstellung auf Exposure Management für Ihre Schwachstellenmanagement-Teams unerlässlich ist, und erklären, wie Tenable sie dabei unterstützen kann.

Zur Ermittlung der Schwachstellen mit dem höchsten Risiko ist ein breiterer Exposure-Kontext beim Schwachstellenmanagement erforderlich

In der sich ständig wandelnden Cybersecurity-Landschaft von heute bleibt Vulnerability Management einer der Grundpfeiler der proaktiven Abwehrstrategie von Unternehmen. Dennoch fällt es Teams weiterhin schwer, das erhöhte Risiko zu bewältigen, das durch die kontinuierliche Zunahme von Common Vulnerabilities and Exposures (CVEs) und anderen Schwachstellen entsteht.

Zahlreiche Sicherheitsteams sind aufgrund der schieren Menge an Schwachstellen oftmals überfordert und haben nur begrenzte Ressourcen, um diese effektiv zu managen. Die Raffinesse und Geschwindigkeit der Bedrohungsakteure hat zugenommen, da den Angreifern mehr Einfallstore zur Verfügung stehen und sie neue Taktiken, Techniken und Verfahren anwenden, um Zugang zu anderen kritischen Bereichen des Unternehmens zu erhalten. Dadurch wird deutlich, dass Angriffe nicht mehr linear verlaufen, sondern sehr vielschichtig sind.

Sicherheitsteams haben in der Regel mit folgenden Problemen zu kämpfen:

• Überlastung durch Schwachstellen - Dieses altbekannte Problem wird immer schlimmer. Sicherheitsteams haben es schwerer denn je, die Flut an CVEs zu sichten und zu ermitteln, welche Unternehmensbereiche das größte Risiko bergen.
   
•  Mangel an Exposure-Kontext für die Priorisierung - Ihre Teams treffen Entscheidungen, ohne alle Zusammenhänge zu kennen. Bedrohungsinformationen und der Schweregrad von Schwachstellen sind ein guter Anfang, doch wenn man sich nur darauf beschränkt, erhält man nicht den vollständigen Kontext, den für eine angemessene Priorisierung erforderlich ist. 
   
• Langsame Reaktion bei der Behebung - Sowohl proaktive als auch reaktive Sicherheitsteams wenden enorm viel Zeit dafür auf, auf Schwachstellen mit kritischem Schwergrad zu reagieren. Ressourcen sind dünn gesät, sodass es für Teams wichtiger denn je ist, bei der Empfehlung von Behebungsmaßnahmen zuverlässig diejenigen Sicherheitslücken zu identifizieren, die das größte Risiko darstellen.

Es braucht einen Wechsel von einer Schwachstellen-fokussierten Denkweise zu einem Ansatz, bei dem Exposure im Mittelpunkt steht

Das Wissen um die Probleme, mit denen Sie aktuell zu kämpfen haben, kann dabei helfen, die Vorteile von Exposure Management zu verdeutlichen. Die fehlenden Verbindungsstücke zwischen einer Schwachstelle und einer Exposure (also einer Sicherheitslücke, die mit einem tatsächlichen Risiko bzw. einer Gefährdung für Sie einhergeht) sind die zusätzlichen Ebenen von Kontext. Durch einen mehrdimensionalen Kontext können Sie nicht nur die Schwachstellen selbst verstehen, sondern auch ihre potenziellen Auswirkungen innerhalb der breiteren Angriffsfläche nachvollziehen. Dieser Ansatz ermöglicht einen umfassenderen Blick auf die Sicherheitslage eines Unternehmens, da auch Faktoren wie Threat Intelligence, Asset-Kritikalität, Identitäten und Zugriffsberechtigungen sowie weitere kontextbezogene Aspekte berücksichtigt werden. Dank dieser zusätzlichen Informationen müssen Sie deutlich weniger Zeit damit verbringen, Berge ähnlicher Schwachstellen durchzugehen, und können Ihren Fokus stärker auf die Identifizierung wichtiger Probleme richten, die ein Risiko darstellen – sogenannte Exposures.

Für diejenigen, die noch nie etwas von Exposure Management gehört haben oder sich gerade erst mit dem Thema beschäftigen: Diese Disziplin bietet zahlreiche Vorteile. Was den Ansatz von Tenable betrifft, so übernehmen wir diese Mentalität in unserer Plattform für Exposure Management. Das Ziel ist leicht erklärt: Exposure Management versetzt Unternehmen in die Lage, ihre Behebungsmaßnahmen effektiver zu priorisieren. Es fördert Informationen zutage, die bei der Entwicklung von Strategien helfen, um nicht nur die Schwachstellen selbst, sondern auch das Entstehen von Risikopotenzialen anzugehen, die zu erheblichen Sicherheitsverletzungen führen könnten.

Die Umstellung von Schwachstellen auf Exposure

Um die Kluft zwischen Vulnerability Management und Exposure Management zu überbrücken, muss Kontext über die gesamte Angriffsfläche hinweg miteinander verknüpft werden. Vulnerability Management liefert Kontextinformationen, die die Wahrscheinlichkeit eines Angriffs prognostizieren und die wichtigsten Faktoren, das Alter der Schwachstelle und die Bedrohungsquellen anzeigen. Diese Attribute sind hilfreich, aber wir können noch viel weiter gehen, um unsere Effektivität bei der Priorisierung zu verbessern. Dazu ist eine breitere Sichtbarkeit und ein tieferes Verständnis der Angriffsfläche erforderlich, um das Gesamtbild der Sicherheitsrisiken nachzuvollziehen.

Insbesondere benötigen Sicherheitsteams zusätzlichen Kontext zu:

• Asset-Kontext - Es gibt viele Aspekte eines Assets, die bei Priorisierungsentscheidungen eine Rolle spielen können. Es ist von entscheidender Bedeutung, die Kritikalität eines Assets im Zusammenhang mit seinem Typ, seiner Funktion, dem Namen des Besitzers und seinen Beziehungen zu anderen Assets nachzuvollziehen. Allein die Information, ob das Asset über das Internet zugänglich ist oder nicht, hat Einfluss auf die Priorisierung seiner Behebung.
   
• Identitäten - Identitäten spielen bei erfolgreichen Angriffen eine entscheidende Rolle. Daher ist es wichtig, sie für Exposure Management im Kontext zu betrachten. Ein Verständnis der vorhandenen Berechtigungsstufen, Zugriffsrechte und Benutzerinformationen kann helfen zu verhindern, dass Angreifer Berechtigungen ausweiten und sich im Netzwerk seitlich fortbewegen (Lateral Movement). Eine wichtige Best Practice-Vorgehensweise besteht darin, Priorisierungsmaßnahmen auf anfällige Assets mit Berechtigungen auf Domänen- und Administratorebene zu konzentrieren, um die Wahrscheinlichkeit eines Angriffs zu verringern.
   
• Bedrohungskontext - Für die Priorisierung von Cyberrisiken ist es außerdem wichtig, über verschiedene Ebenen von Bedrohungskontext zu verfügen. Wir wissen, dass sich Bedrohungen im Laufe der Zeit verändern. Daher können dynamische Bewertungen wie VPR oder Asset Exposure Score (AES) Indikatoren für Risiken aufzeigen. Außerdem können wir Kontext aus der Modellierung von Angriffspfaden heranziehen, um Behebungsentscheidungen basierend auf der Perspektive des Angreifers zu beeinflussen, indem die Anzahl der kritischen Angriffspfade oder Choke Points in Ihrer Umgebung ermittelt wird.

Wenn Sicherheitsanalysten diese zusätzlichen Informationen zur Verfügung stehen, können sie das Ausmaß und die Tragweite der jeweiligen Sicherheitslücke wirklich nachvollziehen. Genau so funktioniert Priorisierung in dieser neuen Welt von Exposure Management.

Wir stellen vor: Exposure Signals

Um Ihnen die Umstellung auf diese Exposure Management-Mentalität zu erleichtern, haben wir eine neue Priorisierungsfunktion namens „Exposure Signals“ entwickelt. Exposure Signals ist in Tenable One, der Plattform für Exposure Management von Tenable, verfügbar und stellt Sicherheitsteams an zentraler Stelle umfassendere Kontextinformationen zur Verfügung, um die fokussierte Betrachtung von Risiken zu ermöglichen. 

Es gibt zwei Möglichkeiten für die Nutzung dieser neuen Exposure-Signale. Die erste besteht darin, eine umfassende Bibliothek mit vorgefertigten Signalen für hohe Risiken aufzurufen. Diese sind leicht verständlich, weisen auf potenzielle Risiken in Ihrer Umgebung hin und sind ein guter Ausgangspunkt, um Ihr Exposure Management in Schwung zu bringen. So können Sie zum Beispiel Folgendes leicht erkennen und darauf verweisen: 

• Domain-Administratorgruppe auf mit dem Internet verbundenen Hosts mit kritischen Schwachstellen
• Geräte, die über RDP mit dem Internet verbunden sind und über ein zugehöriges Identitätskonto mit einem kompromittierten Passwort verfügen
• Cloud-Assets, die Befunde mit kritischem Schweregrad und einen Exposure-Score von über 700 aufweisen

Mithilfe von Exposure Signals können Sie die Anzahl von Verstößen verfolgen, die auf risikoreiche Szenarien in Ihrer Umgebung hinweisen. Sehen Sie sich diese Liste regelmäßig an, um anhand der einzigartigen Trendlinie zu verfolgen, wie sie sich im Laufe der Zeit verändert. Nehmen Sie die Untersuchung selbst in die Hand, indem Sie sich das betroffene Asset und die dazugehörigen Kontextinformationen in unserem Inventory-Modul ansehen. 

Die zweite Einsatzmöglichkeit von Exposure Signals besteht darin, mithilfe eines Query Builders oder einer von ExposureAI gestützten NLP-Suche (Natural Language Processing) eigene Signale zu erstellen. Auf diese Weise können Sie so allgemein oder so präzise vorgehen, wie es der jeweilige Fall erfordert. Nehmen wir zum Beispiel an, es gibt eine neue Zero-Day-Schwachstelle, von der die gesamte Branche betroffen ist, ähnlich wie bei Log4Shell. Sie können einfach ein Signal erstellen, um die Assets zu ermitteln, die diese Schwachstelle aufweisen, mit dem Internet verbunden sind und über Berechtigungen auf der Ebene eines Domänenadministrators verfügen. Wir verknüpfen diese Elemente dann, sodass Sie Ihr tatsächliches Risiko nachvollziehen und Ihre Priorisierungsmaßnahmen gezielter einsetzen können.

Wenn Sie mehr über Tenable One und Exposure Signals erfahren möchten, sehen Sie sich unsere interaktive Demo an: